Назад | Перейти на главную страницу

Полезная команда linux для криминалистической экспертизы скомпрометированного веб-сервера Linux

Чем полезна команда Linux для проведения судебной экспертизы скомпрометированного веб-сервера Linux для выдачи какой-либо информации / свидетельств / обратного отслеживания? например, проверка журнала, проверка последнего редактирования файла, подозрительный открытый порт и другие полезные автоматические команды для судебной экспертизы?

dd. Сделайте снимок вашей взломанной машины, затем сотрите его и начните заново. Вы не можете больше доверять тому, что вам говорит ваш хозяин.

Однако после того, как вы сказали образ диска, возникает очень большой вопрос: «Чего вы хотите достичь?»? Если это доказательства / закон, то вам придется быть невероятно осторожным и, вероятно, захотеть проконсультироваться с юристом еще до того, как вы начнете.

Если нужно просто выяснить, что случилось, чтобы его взломать, я бы начал с:

  • find (ищите "нечетные" разрешения, особенно setuid).
  • просматривать двоичные файлы в общих местах (например, путь поиска). md5sum и сверьте подпись с источником.
  • файлы журналов - ищите «странные» записи в журналах, особенно такие вещи, как сбои процессов. Ошибки сегментации - большой сигнал тревоги для эксплойта переполнения буфера.

Но, в конце концов, действительно хороший компромисс системы действительно трудно отследить полностью. Журналы будут «подобраны», временные метки исправлены. Единственные надежные источники - это мониторинг за пределами хоста, такой как удаленный сервер системного журнала, брандмауэр или система обнаружения вторжений ... но это то, что, если у вас нет заранее, вы слишком поздно.